Какие вопросы задать вашему айтишнику, чтобы понять, что компания защищена от хакерских атак

Когда я спрашиваю представителей бизнеса, как они занимаются информационной безопасностью в своей компании, часто слышу в ответ: «Ну, надеюсь, у меня айтишник этим занимается». Расскажу, как проверить своего айтишника на прочность.

Привет! С вами Кирилл Манжура, CEO IT-интегратора LARD. Мы помогаем компаниям выявлять потенциальные уязвимости и внедрять системы информационной безопасности (ИБ). По своему опыту знаю, что бизнес часто не придает должного значения этому аспекту, полагаясь на IT-специалистов. При этом руководитель не обладает знаниями для проверки их работы.

Подготовил чек-лист, который поможет вам в этой задаче. Просто задайте следующие вопросы своему системному администратору, IT-специалисту или руководителю IT-отдела и внимательно выслушайте их ответы, чтобы выявить слабые места в защите данных.

Идеальная ситуация — когда у каждого сотрудника уникальные пароли для каждого рабочего сервиса и у его коллег эти пароли также не дублируются. Недопустимо, чтобы одна комбинация букв, цифр и символов обеспечивала доступ как к почтовому ящику, так и к системе документооборота.

Единственное исключение — когда в компании используется технология единого входа, то есть пользователь переходит из одной системы в другую, не связанную с первой, без повторного ввода логина и пароля. Но и в этом случае пароли каждого сотрудника должны быть уникальными.

Узнайте у айтишника, где хранит пароли он сам и сотрудники компании. Администраторы могут использовать специализированные сервисы, при условии что они не сохраняют данные на бумаге или в незащищенных файлах вроде таблиц Excel. Сотрудники, в свою очередь, обязаны запоминать свои пароли и не записывать их на листочках у компьютеров.

Спросите, что будет происходить, если пароль скомпрометирован. У специалиста в области информационных технологий должен быть четкий порядок действий.

Миллионы сетей подвергаются сканированию вредоносных ботов, которые проверяют все IP-адреса подряд в поиске слабых мест и известных уязвимостей. Бот сканирует пул IP-адресов, обнаруживает уязвимый — например, адрес роутера в вашей компании — и сообщает об этом мошеннику.

Злоумышленник анализирует, как использовать данные: например, может слить конкурентам клиентскую базу. Если это резонно, с помощью специальных инструментов — эксплойтов — он получает доступ к данным компании, шифрует их и требует выкуп.

Чтобы не попасть под прицел вредоносных ботов, важно помешать им обнаружить уязвимости в системе. Для этого нужно обеспечить защиту от нежелательного сканирования. Практически каждый современный маршрутизатор (роутер) способен помочь в этом.

Защищенный маршрутизатор распознает, когда начинается сканирование. Обычно это происходит, когда один и тот же IP-адрес начинает проверять несколько портов в секунду. В таких случаях маршрутизатор автоматически добавляет подозрительный адрес в черный список и прекращает на него реагировать.

За простоту настройки защиты от сканирования ценятся маршрутизаторы MikroTik. В интернете есть огромное количество инструкций и рекомендаций по конфигурированию.

Большая часть взломов происходит на устаревшем или пиратском софте. В нем всегда находятся уязвимые точки, которые являются мишенями для эксплойтов — вредоносных программ.

Спросите у айтишника, как санкции повлияли на вашу компанию. Пришлось ли вам устанавливать нелицензионное программное обеспечение? Если да, то как вы обеспечиваете его безопасность: обновляете ли эти программы или ограничиваете их доступ с помощью правил на файрволе.

Узнайте, какие антивирусы установлены на ваших компьютерах: есть ли они вообще, а если да, то используете ли вы платные или бесплатные версии. Стоимость антивирусов не так велика, чтобы пренебрегать защитой компании.

Узнайте, как часто проводится аудит на наличие неиспользуемого ПО. Важно, чтобы на устройствах сотрудников не было лишних программ, которые могут конфликтовать между собой или самостоятельно выходить в интернет без ведома пользователя. Количество ПО, как и хранимых файлов, должно быть ограничено. Например, можно договориться, что на компьютерах сотрудников не должно быть никаких локальных файлов— все данные хранятся на сервере, что легко проверяется.

Сотрудники организации часто становятся слабым звеном, на которое нацеливаются злоумышленники. Мошенники применяют различные методы социальной инженерии, чтобы получить данные компании. Например, они могут позвонить секретарю, представившись техподдержкой, и попросить доступ к компьютеру для проведения обновления. В 90% случаев секретарь соглашается, после чего на компьютере незаметно начинает работать программа, передающая сведения злоумышленнику.

Для предотвращения таких ситуаций необходимо, чтобы все действия сотрудников были регламентированы политикой информационной безопасности компании. Составить политику — задача руководителя отдела информационных технологий или руководителя отдела информационной безопасности. Если в компании есть только один системный администратор, то это его прямая ответственность.

Необязательно делать пятидесятистраничный документ, соответствующий какому-либо ГОСТу или стандарту ISO. Достаточно договориться о допустимых действиях сотрудников в различных ситуациях, учитывая защиту данных и потребности компании, и найти компромиссные решения.

Сотрудники должны четко понимать, чего делать нельзя: например, открывать письма от неизвестных отправителей, сообщать логины и пароли. Это нужно прописать в политике ИБ и проводить разъяснительные беседы с персоналом, а также периодически контролировать, как сотрудники выполняют регламент. За нарушения и безответственное отношение к политике ИБ можно ввести штрафы.

Неограниченные пользовательские права повышают риск скачать вредоносную программу, отключить антивирус или удалить нужные данные.

Узнайте у айтишника, может ли рядовой сотрудник установить на компьютер какую-либо игру или программное обеспечение. Он не должен иметь возможность запускать установщики ПО, устанавливать на компьютер программы или игры. Эти действия должны выполняться только администратором, причем заранее должно быть согласовано, в каком отделе какое ПО может быть установлено.

С помощью групповой политики системный администратор может заблокировать сотрудникам ПО, не относящееся к рабочим процессам. Например, бухгалтеру оставить доступ к 1С и системе отчетности, юристу — к сайтам с судебной практикой и другим нужным программам, а ко всему остальному доступ закрыть.

Чтобы не заблокировать нужные сервисы, необходимо вместе с сотрудником описать бизнес-процессы и понять, какие программы и сайты ему действительно нужны для работы.

Личные ноутбуки и ПК потенциально опасны, ведь на них могут быть установлены пиратский софт, игры, несколько антивирусов, которые мешают друг другу работать (а может и вовсе не быть антивируса), куча браузеров с установленными расширениями. Подключение такого устройства к корпоративной сети компании значительно повышает риски заражения вирусами, утечки и шифрования данных.

Особенно это критично, если личное оборудование сотрудника интегрировано в локальную сеть и обменивается данными с другими корпоративными устройствами. Риск может быть снижен, если есть строгие ограничения доступа, когда сотрудник использует личное устройство исключительно для работы в интернете.

Когда Wi-Fi — часть бизнес-процессов компании, но при этом доступен для всех сотрудников и гостей, он становится уязвимым для атак. Незащищенная сеть может быть взломана даже из автомобиля, припаркованного рядом с офисом, что может привести к остановке работы всей компании.

Очень важный вопрос: можно ли через Wi-Fi-сеть попасть на сервер? Сеть, которая используется в рабочих процессах, должна быть изолирована и доступна строго по назначению.

Например, на большом складе с сотней точек доступа персонал использует оборудование для сканирования штрихкодов, которое работает по Wi-Fi. А чтобы люди в обеденный перерыв могли отдохнуть и зайти в социальные сети, есть отдельный сегмент Wi-Fi, независимый от первого.

Согласно действующему законодательству, компании обязаны регистрировать и идентифицировать всех пользователей, которые подключаются к их сети Wi-Fi. В случае инцидента с IP-адреса компании соответствующие органы могут запросить информацию о том, кто был подключен к сети. И компания обязана предоставить эти данные, иначе ей грозят санкции. Для внештатных сотрудников подключение должно быть идентифицировано по номеру телефона.

При отсутствии резервных копий можно навсегда потерять важные данные не только из-за взлома и шифрования, но и многих других неприятностей, будь то поломка сервера или сбой электричества.

Идеальная практика — когда бэкап-сервер самостоятельно забирает данные из их хранилища, при этом исключен любой доступ к бэкап-серверу внутри сети. Это необходимо для защиты данных: в случае атаки хакера или активности шифровальщика данные на бэкап-сервере останутся в сохранности.

Оптимальную частоту резервного копирования каждая организация устанавливает самостоятельно, определив допустимый уровень потери данных за определенный период (день, два, три или неделя).

Раз в определенное количество дней, неделю или месяц нужно проводить «бэкап судного дня», то есть полное копирование всех данных на отдельный диск. Этот диск извлекается из компьютера или сервера и передается независимому лицу, не связанному с IT-отделом, для хранения вне офиса. Такой бэкап не будет самым актуальным, но обеспечит сохранность всех данных.

Например, спросите: что делать, если в офисе перестал работать интернет? Как поступить, если не функционирует почта? Каковы наши действия, если всю технику из офиса изымут, — имеется ли план, что и в какие сроки следует предпринимать?

У IT-специалистов всегда должен быть план восстановления (Disaster Recovery Plan). В нем должны быть описаны договоренности с бизнесом относительно того, как реагировать на ту или иную нештатную ситуацию, как восстанавливать систему — в какие сроки и на каком оборудовании. Иначе может возникнуть ситуация, когда резервная копия есть, но восстановить ее невозможно — например, из-за отсутствия подходящего оборудования.

В критической ситуации IT-специалист не должен поддаваться панике и действовать хаотично. У него должен быть четкий план восстановления.

В рамках беседы вы, возможно, не получите полностью объективную картину — IT-специалист может приукрасить некоторые моменты. Но вы заставите его задуматься: если к нему приходят с подобными вопросами, значит, необходимо что-то менять или как минимум настроиться на диалог с руководством.

Ведь часто бывает так, что проблемы не доводятся до собственника компании. Айтишники занимаются инцидент-менеджментом, то есть реагируют на критические ситуации в моменте. Например, когда у главного бухгалтера зависает компьютер, они просто приходят и перезагружают его. А нужно переводить IT-отдел в сторону проблем-менеджмента — когда IT-специалисты анализируют прошедший период и замечают, что компьютер у главного бухгалтера зависает стабильно два-три раза в неделю. И это уже не просто инцидент, а проблема. Значит, нужно найти решение, которое предотвратит повторение инцидента, сэкономив время как IT-специалиста, так и бухгалтера.

Если потенциальная проблема может привести к потере нескольких миллионов, а ее решение сейчас стоит, условно, двадцать тысяч (по меркам IT-специалиста — серьезная сумма, которую нелегко получить), бизнесу проще предоставить необходимое финансирование, чтобы избежать риска. Нужно, чтобы айтишник понимал это.

Прислушивайтесь к вашему IT-специалисту: если он приходит с дельными предложениями или запросами на финансирование оборудования или программного обеспечения для безопасности, не стоит сразу отказывать ему. Оцените риски, просчитайте, во сколько обойдётся его предложение и какие угрозы оно позволит устранить. Стоимость потенциальных рисков может быть несоизмеримо выше по сравнению с затратами на их предотвращение.

А если вы не до конца доверяете айтишнику, стоит провести независимый аудит. О нем и других инструментах защиты бизнеса и информационной безопасности я рассказываю у себя в телеграм-канале. Переходите посмотреть, а в комментариях пишите: есть ли у вас IT-специалист? Проверяли когда-нибудь его работу?